Štítek: NIS2

Je NIS2 strašákem, nebo příležitostí uchopit lépe kybernetické zabezpečení firmy?

Evropská směrnice NIS2 (Network and Information Security Directive) se stává klíčovým milníkem v oblasti kybernetické bezpečnosti. Jejím cílem je posílit ochranu kritické a významné infrastruktury v celé EU, a tím zvýšit odolnost firem vůči kybernetickým hrozbám. Česká republika se na implementaci této směrnice připravuje, přičemž nová legislativa by měla vstoupit v platnost v polovině letošního roku.

Co NIS2 znamená pro firmy?

Směrnice NIS2 rozšiřuje působnost předchozí regulace a zahrnuje více sektorů a firem, než tomu bylo dosud. „Povinnost splnit nové bezpečnostní požadavky se tak bude týkat i společností, které dříve regulaci nepodléhaly, například z odvětví potravinářství, odpadního hospodářství, řízených IT služeb a dalších,“ upozorňuje Martin Votava ze společnosti COMGUARD.

Kromě toho mezi klíčové změny patří také přísnější požadavky na řízení rizik, kdy firmy budou muset aktivně monitorovat a řídit kybernetická rizika, větší odpovědnost vedení firem – management bude osobně odpovědný za dodržování opatření, a v neposlední řadě také oproti dosavadní směrnici NIS výraznější sankce za nedodržení pravidel.

Jak se k NIS2 postavit?

Nové povinnosti mohou na první pohled působit jako administrativní zátěž, ale je důležité zachovat klid a přistupovat k nim strategicky.

1. Nenechte se vylekat – Ačkoliv NIS2 přináší změny, klíčové je pochopit, co se od vaší firmy konkrétně očekává, a postupně zavést nezbytná opatření.

2. Neexistuje kouzelné řešení – Žádný jeden produkt nebo opatření nevyřeší kyberbezpečnost kompletně. Důležité je kombinovat různé nástroje a postupy.

3. Řešte kyberbezpečnost kvůli sobě, ne kvůli zákonu – Dodržování pravidel je třeba vnímat jako investici do bezpečnosti firmy a ochrany know-how, nikoli jen jako splnění legislativních požadavků.

Trellix jako komplexní řešení kybernetické bezpečnosti

Aby firmy mohly efektivně čelit výzvám spojeným s NIS2, poohlíží se po robustním a flexibilním bezpečnostním řešení. Pro naplnění všech požadavků je klíčové mít k dispozici nástroje, které umožní včasné odhalení rizik, rychlou reakci na incidenty a systematické posilování obranyschopnosti.

Jednou z možností, jak tyto cíle naplnit, je využití bezpečnostního portfolia Trellix, které na českém trhu zastupuje společnost COMGUARD. Řešení Trellix pokrývá široké spektrum oblastí – od ochrany koncových zařízení přes zabezpečení e-mailové a síťové komunikace až po nástroje pro detekci hrozeb a řízení incidentů. Využívá přitom moderní přístupy jako je zapojení umělé inteligence či behaviorální analýzu.

NIS2 vnímá kybernetickou bezpečnost jako proces, ne jako jednorázové opatření. Právě komplexní a dlouhodobě rozvíjené systémy, jaké nabízí Trellix, mohou firmám pomoci nejen splnit legislativní povinnosti, ale také lépe čelit aktuálním i budoucím kybernetickým výzvám.

Kybernetický zákon se dotkne firem, které o tom ani netuší. BDO přináší příklady

Praha, 1. dubna 2025 – Vznikající zákon o kybernetické bezpečnosti se v tuzemsku dotkne odhadem 6 až 10 tisíc subjektů. Řada firem přitom vůbec netuší, že se přísnými podmínkami bude muset řídit. Háček totiž spočívá v tom, že se na ně zákon může vztahovat kvůli jejich vedlejším či doplňkovým aktivitám, nikoliv kvůli jejich hlavní podnikatelské činnosti. Poradenská společnost BDO proto přináší příklady takových firem se zdůvodněním, proč se na ně zákon vztahovat může. S účinností zákona, který do českého práva převádí evropskou směrnici NIS2, se počítá nejdříve od 1. července 2025. Podnikům tak na přípravu zbývá minimum času.

„Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí,“ uvozuje Libor Šrám, odborník na kyberbezpečnost firem z BDO.

„To znamená, že i organizace, které by jinak nespadaly pod tuto regulaci, mohou podléhat jejím požadavkům právě kvůli svým doplňkovým aktivitám. Například firmy, které se primárně věnují logistice, výrobě, retailu nebo jiným sektorům, mohou být nepřímo regulovány, pokud jejich doplňkové aktivity zahrnují prvky klíčové infrastruktury,“ doplňuje Libor Šrám.

Společnost BDO a Libor Šrám dále uvádějí příklady, jakých firem by se NIS2 prostřednictvím zákona o kybernetické bezpečnosti mohla dotknout, a to kvůli specifickým vedlejším činnostem:

  1. Logistická firma s vlastními nabíjecími stanicemi pro elektromobily
  • Mohou spadat pod NIS2?

Ano, pokud nabíjecí stanice slouží i externím uživatelům.

  • Proč?
    • Provozovatelé nabíjecí infrastruktury pro elektromobily spadají pod regulaci, pokud poskytují veřejnou službu nebo jsou součástí kritické energetické infrastruktury.
    • Firma provozující interní nabíjecí síť pro vlastní flotilu regulaci nepodléhá.
    • Pokud však umožňuje nabíjení externím uživatelům (např. partnerským dopravcům nebo široké veřejnosti), může být považována za regulovanou entitu.
  1. Výrobní firma s fotovoltaikou na střeše a dodávkami přebytků do sítě
  • Mohou spadat pod NIS2?

Ano, pokud dodávají elektřinu do sítě ve významném objemu.

  • Proč?
    • Směrnice NIS2 reguluje energetiku, včetně výrobců elektřiny.
    • Pokud organizace využívá solární energii pouze pro vlastní spotřebu, nepodléhá regulaci.
    • Pokud však dodává významné přebytky do distribuční sítě, může být považována za součást energetické infrastruktury a podléhat požadavkům NIS2.
  1. Skladování nebo recyklace nebezpečného průmyslového odpadu
  • Mohou spadat pod NIS2?

Ano, pokud nakládají s odpadem zásadního významu pro ochranu veřejného zdraví a životního prostředí.

  • Proč?
    • Směrnice NIS2 reguluje oblasti, jejichž narušení by mohlo způsobit vážné ekologické nebo zdravotní dopady.
    • Firmy provozující zařízení pro skladování, zpracování či likvidaci nebezpečných odpadů mohou být regulovány, pokud jejich infrastruktura hraje klíčovou roli v ochraně životního prostředí.
  1. Provozování flotily firemních vozidel – např. pro rozvoz zdravotnického materiálu nebo potravin
  • Mohou spadat pod NIS2?

Ano, pokud podporují kritickou dodavatelskou infrastrukturu.

  • Proč?
    • Logistické služby zajišťující distribuci klíčových komodit, jako jsou léky, zdravotnické vybavení či potraviny, mohou být považovány za kritickou infrastrukturu.
    • Pokud organizace provozuje vlastní flotilu pro běžné účely, regulaci nepodléhá.
    • Pokud však její vozidla zajišťují strategicky významné dodávky, může pod NIS2 spadat.
  1. Vlastní čistírny odpadních vod u velkých průmyslových podniků
  • Mohou spadat pod NIS2?

Ano, pokud jejich provoz je klíčový pro fungování širší infrastruktury.

  • Proč?
    • Sektor vodohospodářství patří mezi oblasti regulované směrnicí NIS2.
    • Firmy s interními čistírnami regulaci nepodléhají, pokud zpracovávají pouze vlastní odpadní vody.
    • Pokud však jejich čistírna zajišťuje čištění odpadních vod pro více subjektů nebo pokud její výpadek může mít zásadní environmentální dopad, mohou být zařazeny pod regulaci.
  1. Správa vlastních rozvodných sítí pro průmyslové zóny nebo firemní kampusy
  • Mohou spadat pod NIS2?

Ano, pokud provozují vnitropodnikovou energetickou síť zásobující více subjektů.

  • Proč?
    • Energetický sektor je klíčovým prvkem regulace NIS2.
    • Pokud organizace spravuje rozvodnou síť pro průmyslovou oblast, firemní kampus či jiný rozsáhlý areál, může být považována za kritickou součást distribuční infrastruktury a spadat pod regulaci.
    • Firmy, které čerpají elektřinu pouze pro vlastní provoz, se regulaci vyhnou, ale subjekty s interními distribučními sítěmi již mohou podléhat požadavkům na kybernetickou bezpečnost.
  1. Distribuce biologického materiálu – krevní deriváty, tkáně, transplantáty
  • Mohou spadat pod NIS2?

Ano, pokud jejich služby jsou klíčové pro zdravotnickou infrastrukturu.

  • Proč?
    • Směrnice NIS2 pokrývá zdravotnické služby a související dodavatelské řetězce.
    • Firmy, které distribuují biologický materiál, mohou být považovány za kritické subjekty, pokud jejich výpadek ohrozí dostupnost zdravotní péče.
  1. Správa interních SOC center (Security Operations Center) – poskytování kyberbezpečnostních služeb jiným firmám
  • Mohou spadat pod NIS2?

Ano, pokud poskytují kybernetickou bezpečnost jako službu.

  • Proč?
    • Směrnice NIS2 zahrnuje poskytovatele kritických digitálních služeb, včetně kyberbezpečnostních operací.
    • Pokud firma spravuje vnitropodnikový SOC pouze pro sebe, regulaci nepodléhá.
    • Pokud však poskytuje kyberbezpečnostní služby dalším organizacím, například v podobě externího monitoringu a reakce na incidenty, může být považována za regulovaný subjekt.
  1. Provoz soukromé telekomunikační infrastruktury (např. firemní optické sítě, vlastní 5G)
  • Mohou spadat pod NIS2?

Ano, pokud poskytují telekomunikační služby dalším subjektům.

  • Proč?
    • Telekomunikační sektor je jedním z klíčových sektorů pokrytých směrnicí NIS2.
    • Pokud organizace provozuje vlastní datovou nebo optickou síť a poskytuje její služby externím partnerům (např. nájemcům v průmyslovém areálu), může být považována za poskytovatele elektronických komunikací.
    • Regulace se nevztahuje na organizace, které síť využívají výhradně interně.
  1. Poskytování cloudu nebo hostingových služeb jiným firmám (včetně interních IT oddělení nabízejících služby dalším entitám ve skupině)
  • Mohou spadat pod NIS2?

Ano, pokud poskytují cloudové služby dalším subjektům.

  • Proč?
    • NIS2 reguluje poskytovatele digitálních služeb, včetně cloud computingu, hostingových center a datových úložišť.
    • Pokud organizace spravuje interní cloud pouze pro vlastní potřeby, regulaci nepodléhá.
    • Pokud však poskytuje cloudovou nebo hostingovou infrastrukturu jiným firmám či subjektům (např. pobočkám, partnerům, zákazníkům), může být považována za regulovaný subjekt.
  1. Vývoj a distribuce průmyslového softwaru pro řízení provozu (např. SCADA, MES systémy, automatizace výrobních linek)
  • Mohou spadat pod NIS2?

Ano, pokud dodávají software pro kritické infrastruktury.

  • Proč?
    • Vývojáři softwaru, který řídí kritické průmyslové operace, mohou spadat pod regulaci NIS2.
    • Pokud jejich produkty podporují řízení elektráren, vodohospodářských zařízení, dopravních systémů nebo jiných regulovaných infrastruktur, mohou být považováni za klíčový dodavatelský článek.
    • Firmy vyvíjející software pouze pro vlastní potřebu do regulace typicky nespadnou.
  1. Provoz interní distribuční soustavy zemního plynu v průmyslových areálech
  • Mohou spadat pod NIS2?

Ano, pokud zajišťují plyn pro více subjektů.

  • Proč?
    • Distribuce zemního plynu je součástí energetické infrastruktury pokryté NIS2.
    • Pokud organizace spravuje interní plynovou síť, která zásobuje další podniky nebo nájemce v průmyslovém areálu, může být považována za regulovaný subjekt.
    • Použití plynu výhradně pro vlastní výrobu obvykle regulaci nepodléhá.
  1. Provoz interní dopravní infrastruktury v průmyslových zónách (např. železniční vlečky, terminály pro přepravu zboží)
  • Mohou spadat pod NIS2?

Ano, pokud poskytují dopravní služby jiným subjektům.

  • Proč?
    • Dopravní sektor je regulován, pokud jeho infrastruktura slouží jako kritický uzel pro přepravu zboží nebo osob.
    • Pokud organizace spravuje vlastní železniční vlečku či logistický terminál, který slouží externím zákazníkům nebo partnerům, může spadat pod regulaci.
    • Interní dopravní infrastruktura, využívaná pouze pro vlastní potřebu, obvykle regulaci nepodléhá.
  1. Provoz bezpečnostních služeb a fyzické ostrahy kritických objektů (např. letišť, datových center, vodáren, energetických podniků)
  • Mohou spadat pod NIS2?

Ano, pokud chrání kritickou infrastrukturu.

  • Proč?
    • Ochrana kritických objektů (např. datová centra, energetické provozy, letiště) spadá pod požadavky na kybernetickou a fyzickou bezpečnost.
    • Pokud bezpečnostní agentura zajišťuje ochranu těchto objektů, může být považována za strategického dodavatele a podléhat požadavkům NIS2.
  1. Skladování nebo distribuce farmaceutických látek a léčiv
  • Mohou spadat pod NIS2?

Ano, pokud mají klíčovou roli v dodavatelském řetězci zdravotnictví.

  • Proč?
    • Farmaceutický sektor spadá pod NIS2, protože výpadky v dodávkách léčiv mohou mít zásadní dopad na veřejné zdraví.
    • Pokud organizace distribuuje nebo skladuje léčiva v rámci kritického dodavatelského řetězce, může být považována za regulovaný subjekt.

„Účinnost zákona může nastat nejdříve od 1. července 2025, realističtěji se ovšem jeví termín 1. ledna 2026. To již nyní přiznává i NÚKIB, který je předkladatelem zákona,“ uvádí Libor Šrám z BDO. Česko nicméně zákon přijímá se zpožděním, evropskou směrnici NIS2 se totiž zavázalo přijmout s účinností od října 2024. Kvůli prodlevám už Česko obdrželo v únoru vytýkací dopis z Evropské komise.

Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. „Očekávají se výdaje řádově ve stovkách tisíc korun,“ prohlašuje Libor Šrám. Druhým krokem bude zavedení technických bezpečnostních opatření. „Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu,“ zakončuje Libor Šrám.

O společnosti BDO

BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní, znalecké a poradenské služby. Na českém trhu působí již přes 30 let. S více než 600 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde také opakovaně vyhrála titul Největší poradenská firma roku. Kanceláře má v Praze, Plzni, Brně, Domažlicích, Českých Budějovicích, Jindřichově Hradci a Ostravě.

BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář, BDO Valuation, s.r.o., BDO Fund Administration a.s. a BDO Euro-Trend s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 119 tisíc odborníků a působí ve 166 zemích, v nichž provozuje více než 1 800 kanceláří.

Lhůtu pro zavedení směrnice NIS2 zatím splnilo pouze 7 z 27 členských států EU. Zpoždění ohrožuje kyberbezpečnost

Přestože lhůta pro implementaci evropské směrnice NIS2 již uplynula, většina členských států má stále zpoždění. Pouze několik z nich – sedm z celkových 24 – již oficiálně začlenilo NIS2 do svých právních předpisů. Podle expertů společnosti Fortinet toto zpoždění není jen procedurálním zádrhelem, ale značí širší problém při slaďování vnitrostátních rámců legislativy o kybernetické bezpečnosti s ambiciózní oblastí působnosti směrnice.

„Některé země jsou připraveny, zatímco jiné zůstávají díky zpoždění v nejistotě. Důsledky jsou obzvláště naléhavé pro nadnárodní organizace, které čelí výzvě, jak se vypořádat s očekáváními v různých jurisdikcích. Toto roztříštěné prostředí pro dodržování předpisů není jen nepříjemné, ale ohrožuje i hlavní cíl směrnice, kterým je vytvoření jednotné kybernetické bezpečnosti v celé EU,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.

Harmonizace se v praxi ukazuje jako obtížná. Napětí mezi centralizovanou regulací a místními rozdíly podtrhuje zásadní výzvu, jak lze zajistit konzistentní přístup a zabránit fragmentaci trhu, aniž by se přehlížely jedinečné národní souvislosti. Vzhledem k tomu, že na transpozici pracuje stále více členských států, bude klíčové najít rovnováhu mezi těmito dvěma prioritami, zejména v souvislosti s digitálními službami – včetně kybernetické bezpečnosti.

Rizika zpoždění

„Zpoždění implementace je více než jen administrativní překážkou. Přináší hlavně významná rizika pro soukromý i veřejný sektor. Pro orgány veřejné správy, z nichž mnohé jsou správci kritické infrastruktury, by absence jasných mechanismů prosazování mohla způsobit mezery v obraně kybernetické bezpečnosti, protože hrozby se stále stupňují. Právní nejistota plynoucí z těchto průtahů by navíc mohla pro organizace znamenat dilema ohledně dodržování předpisů. Některé prvky směrnice mohou být totiž v zemích, kde ještě nejsou platné, stále vymahatelné,“ pokračuje Ondřej Šťáhlavský.

Navzdory těmto výzvám představuje směrnice NIS2 důležité příležitosti k transformaci. Její důraz na řízení rizik, hlášení incidentů a bezpečnost dodavatelského řetězce poskytuje organizacím rámec pro smysluplné posílení své kybernetické bezpečnosti. Některé firmy tedy využívají tohoto okamžiku k posouzení svých postupů v oblasti kybernetické bezpečnosti, nejen aby splnily regulační povinnosti, ale také zaujaly vedoucí postavení ve svých odvětvích.

Směrnice NIS2 představuje výzvu i příležitost. Její úspěch závisí na schopnosti členských států, organizací a regulačních orgánů společně zvládnout její složitost. Nerovnoměrné tempo implementace sice vyvolává bezprostřední obavy, ale zároveň vybízí k hlubší diskusi o tom, jak může Evropa dosáhnout skutečně odolného a harmonizovaného prostředí kybernetické bezpečnosti. Cesta může být náročná, ale potenciální odměna – bezpečnější a odolnější digitální Evropa – stojí za to, “ uzavírá Ondřej Šťáhlavský.

Pozice ředitelky týmu kybernetické bezpečnosti v Seyforu se ujala Lucie Jahnová. Zaměří se na NIS2 a implementaci vhodných bezpečnostních opatření do firem

Divizi Cloud and Security Competence Center Seyforu, jednoho z největších evropských hráčů v oblasti poskytování firemních ICT řešení, posiluje Lucie Jahnová. V pozici ředitelky týmu architektů a konzultantů se v první řadě zaměří na aktuální téma – řešení kybernetické bezpečnosti firem v kontextu směrnice NIS2. Kromě jiného se také nyní účastní přípravy nových řešení pro zajištění bezpečnosti velkých společností s využitím AI.

Lucie Jahnová je v oblasti kybernetické bezpečnosti uznávaným odborníkem a své bohaté zkušenosti využívá od roku 2021 jako odborný konzultant Ministerstva průmyslu a obchodu v oblasti řízení rizik v rámci implementace Národního plánu obnovy. Kromě toho působila během posledních deseti let také jako ředitelka odboru interního auditu a kontroly ve společnosti Czechinvest a jako senior konzultant v BDO Česká republika, kde měla mimo jiné na starosti audity kyberbezpečnosti.

Divize Cloud and Security Competence Center, která patří mezi hlavní pilíře společnosti Seyfor a má mimo jiné na starosti problematiku kybernetické bezpečnosti, poskytuje podporu všem vývojovým oddělením od masově rozšířeného chytrého fakturačního systému iDoklad přes HR aplikace až po podnikové CRM a ERP systémy určené pro firmy všech zaměření a velikostí, jako například Vario, Money ERP, Byznys či Infor.

Rychlý růst a mezinárodní expanze společnosti, jejíž řešení využívá víc než 160 tisíc podnikatelských subjektů ve 38 zemích, je pro mě obrovskou motivací. Posilování kybernetické bezpečnosti firemních systémů v době, kdy prvky umělé inteligence využívají velmi efektivně i kyberzločinci, vnímám jako velkou výzvu. Mojí ambicí v rozsáhlém týmu Seyforu je přispět k praktické implementaci regulatoriky v podobě například NIS2, DORA, AI Act, a také k zajištění bezpečnosti konkrétních systémových řešení, které vyvíjíme. Ale nejen to. Chci docílit toho, aby si zákazníci uvědomili, že implementace bezpečnostních pravidel není jen regulací vyžadovaná nutnost, ale může to být potenciální příležitost pro zlepšení procesů i míry automatizace a nastavení vhodných preventivních opatření, které v důsledku napomůžou ke snížení finančních nákladů. Prioritou firem nemusí být pouze prevence, ale důraz na funkční a efektivní business continuity plán. Zajištění možnosti rychlé a efektivní obnovy může menším firmám zajistit plynulost poskytovaných služeb bez zásadních finančních či reputačních ztrát. Uvedená kombinace opatření vede k maximální možné eliminaci rizik v oblasti kyberbezpečnosti,“ říká Lucie Jahnová.

Hluboké znalosti oboru a bohaté zkušenosti z oblasti kybernetické bezpečnosti, analýzy rizik, kontrolních mechanismů i školicích procesů využije Lucie Jahnová při nastavování a rozvíjení bezpečného prostředí u klientů. V rámci rozvoje služeb Seyforu připravuje také spuštění zcela nových bezpečnostních služeb pro nejnáročnější zákazníky. Své znalosti uplatní také v projektech Seyforu zaměřených na datovou analytiku a IT infrastrukturu.

„Velkým tématem pro všechny české firmy je také směrnice NIS2, respektive připravovaný zákon o kybernetické bezpečnosti, který vstoupí brzy v platnost. S našimi klienty se zaměřujeme na praktický přístup implementace opatření a navrhujeme jim vhodná řešení, vzhledem k jejich velikosti a potřebám. Z důvodu složitosti legislativy není totiž pro firmy jednoduché požadavky implementovat a mnoho z nich dokonce zatím ani netuší, že se jich regulace dotkne. I proto se těším se na rozvíjení stávajících i vytváření nových příležitostí, jak být firmám v oblasti kybernetické bezpečnosti nápomocna. Jeden z klíčových projektů Seyforu v oblasti kyberbezpečnosti představíme už velmi brzy,“ uzavírá Jahnová.

O společnosti SEYFOR

Seyfor, a.s. je jedním z velkých evropských dodavatelů ICT řešení. Společnost má přes 1 700 zaměstnanců a obsluhuje zákazníky ve 38 zemích. Dlouhodobě patří k nejrychleji rostoucím IT společnostem v regionu. Je největším výrobcem účetních, ERP a mzdových a personálních systémů v České republice, který v roce 2023 počtvrté za sebou zaznamenal 30% meziroční růst. Společnost uskutečnila v posledních letech desítky významných akvizic IT firem v České republice, na Slovensku a na Balkáně. Ovládajícími vlastníky společnosti jsou slovenská společnost Sandberg Capital a český podnikatel Martin Cígler. Firma byla původně založena v roce 1990 jako Cígler Software, v letech 2017–2022 působila pod značkou Solitea.

Gordic usnadňuje plnění požadavků nové legislativy NIS2

Aplikace Cyber Security Audit od Gordicu jednoduše řeší požadavky vyplývající ze ZoKB, normy ISO 27 000 i nové evropské směrnice NIS2

V Praze, 20. prosince 2023 – Gordic, přední český tvůrce a dodavatel informačních systémů, pomáhá podnikům komerční sféry i organizacím státní správy jednoduše zvládnout legislativní požadavky v oblasti kybernetické bezpečnosti včetně nařízení nové evropské směrnice NIS2. Bezpečnostními experty společnosti Gordic vyvinutá webová aplikace Cyber Security Audit (CSA) umožňuje snadno zpracovat analýzu rizik a řídit procesní náležitosti kybernetické bezpečnosti z jednoho místa. Nástroj poskytuje vše potřebné pro splnění požadavků vyhlášky o kybernetické bezpečnosti a normy IS0 27000, výrazně pomáhá i při zavádění povinností vyplývající z evropské směrnice NIS2 a jejích prováděcích předpisů.

Aplikace CSA usnadňuje řízení kybernetické bezpečnosti v organizaci v souladu se současnou českou i mezinárodní legislativou, přičemž obsahuje i specifické materiály a doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Aplikace poskytuje skutečný přehled o stavu kybernetické bezpečnosti organizace v reálném čase a pomáhá odhalovat skryté hrozby a zranitelná místa. Jednou z hlavních předností aplikace CSA je funkce dlouhodobého sledování stavu kybernetické bezpečnosti v organizaci včetně jeho změn. Díky tomu lze snadno dohledat změny, které v systému kybernetické bezpečnosti proběhly, a jejich celkový dopad na chod podniku. Výstupní analýzy a monitoring slouží nejen jako podklady pro zlepšení úrovně kybernetické bezpečnosti organizace, ale také jako podklady pro příslušné dozorové orgány.

Snadné používání

Aplikace CSA je hostována na cloudové platformě Microsoft Azure, která zaručuje vysokou bezpečnost dat a rychlost operací, a má jednoduché a intuitivní ovládání. K používání CSA stačí webový prohlížeč a platná uživatelská licence. Pro nastavení moderního způsobu řízení kybernetické bezpečnosti doporučují bezpečnostní specialisté společnosti Gordic propojit nástroj CSA s aplikací GDA pro správu ochrany osobních údajů a aplikací GDPO pro online vzdělávání v oblasti GDPR a kybernetické bezpečnosti.

„V CSA zpracujete analýzu rizik mnohem rychleji, přesněji a pohodlněji, než kdybyste zvolili klasické tabulkové a textové editory. Svá aktiva a prostředí analyzujete v zabezpečeném online nástroji, v rámci kterého máte data kdykoliv dispozici a kde lze veškeré informace snadno a rychle nahrát, upravit či stáhnout. Aplikace CSA umožňuje celou řadu užitečných pohledů na zpracovávaná data, přičemž neslouží pouze pro analýzu, ale pro celkové procesní řízení kybernetické bezpečnosti,“ řekl Vojtěch Hvězda, ředitel odboru CyberSec, Gordic.

Aplikace CSA získala certifikát v souladu se Zákonem o kybernetické bezpečnosti (ZoKB) od renomované auditorské společnosti TAYLLORCOX. Jde o jediný nástroj na analýzu rizik a řízení kybernetické bezpečnosti na českém trhu, který tento certifikát obdržel.

O Gordicu

Ryze česká společnost Gordic s.r.o. již od roku 1993 vytváří prostor a nástroje pro srozumitelnou komunikaci lidí a organizací. Vizí předního českého tvůrce a dodavatele informačních systémů je propojená společnost, ve které bezpečné technologie usnadňují život. Produktové portfolio a služby společnosti Gordic zahrnují informační systémy určené pro veřejnou správu, včetně uznávané platformy GINIS, kterou využívá více než 6 000 organizací veřejné správy; otevřené modulární informační systémy pro soukromý sektor, včetně DMS, řešení fyzické i kybernetické bezpečnosti a integrační platformy pro ovládání IoT technologií a efektivní sběr dat. V oblasti IoT se Gordic angažuje zejména v technologiích pro chytré budovy prostřednictvím dceřiných společností HDL Automation a MyMight. Gordic je iniciátorem a provozovatelem platformy KYBEZ, která je založena na dobrovolné spolupráci akademických, státních i komerčních a mediálních institucí z oblasti IT a telekomunikací a jejímž cílem je osvěta v oblasti kybernetické bezpečnosti a obrany.

Pro více informací navštivte stránky www.gordic.cz nebo sledujte Gordic na LinkedINu a Facebooku.

NIS2 přehledně a jednoduše

Směrnice o kybernetické bezpečnosti NIS2 se podle odhadu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) dotkne přibližně 6 tisíců subjektů. Regulace se týká zejména středních a velkých podniků napříč odvětvími. Do českého právního řádu směrnici NIS2 zavede nový zákon o kybernetické bezpečnosti, jehož přijetí se předpokládá už v polovině roku 2024. Jak zvládnout časově i organizačně náročnou přípravu na novou právní úpravu v oblasti kybernetické bezpečnosti ukáže seminář Jak se připravit na NIS2 za účasti zástupců regulatorních orgánů, specialistů na soulad firemních procesů s aktuálně platnou legislativou, právníků a IT specialistů. Seminář otevřený odborné veřejnosti se koná 5. prosince 2023 v pražském Hotelu Grandior.

Se stavem příprav nového zákona o kybernetické bezpečnosti seznámí účastníky semináře Adam Kučínský, ředitel odboru regulace Národního úřadu pro kybernetickou a informační bezpečnost. Představí základní koncepční východiska vnitrostátní úpravy, hlavní instituty a povinnosti vyplývající ze zákona a podrobně srovná změny se stávající právní normou.

Základní otázkou mnoha firem je, zda a jak na ně nová právní úprava dopadá. Jak správně identifikovat povinný subjekt a zajistit soulad s požadavky NIS2 a novým zákonem o kybernetické bezpečnosti napoví ve svém vystoupení Jan Tomíšek, Partner advokátní kanceláře ROWAN LEGAL. Mimo jiné ukáže, jak správně určit režim poskytovatele regulované služby nebo korektně posoudit velikost podniku, která je jedním z určujících prvků. Doporučí také první praktické kroky, které je potřeba pro zajištění souladu s novou právní úpravou kybernetické bezpečnosti v České republice udělat.

Na praktické aspekty implementace opatření spojených s NIS2 se zaměří Michaela Holíková, spolupracující právník ROWAN LEGAL a bezpečnostní analytik ve společnosti Landis+Gyr. Zodpoví otázky týkající se změn prováděcích předpisů, jako jak se vypořádat s předepsanými organizačními a procesními povinnostmi, jak identifikovat aktiva a analyzovat rizika, co je to prohlášení o aplikovatelnosti nebo plán zvládání rizik. Holíková představí i jednotlivá organizační a procesní opatření a konkrétní příklady, jak tato opatření implementovat v praxi, ať už vaše organizace spadne do režimu vyšších či nižších povinností.

Z technického pohledu se na NIS2 podívá Lubomír Almer, ředitel Centra kybernetické bezpečnosti společnosti Aricoma. Na trhu je nabízena řada různých technologických řešení s nálepkou NIS2, která deklarují zákazníkům vyřešení nároků spojených s touto novou legislativou. Nepřinesou přitom v kontextu bezpečnosti dostatečnou přidanou hodnotu zejména v možnostech reakce na hrozby. Almer předloží argumenty, proč je vhodné budovat aktivní kybernetickou bezpečnost.

Seminář Jak se připravit na NIS2 se koná prezenčně 5. prosince 2023 od 9:00 do 14:30 hodin v pražském Hotelu Grandior a nabídne dostatečný prostor pro diskuse o praktickém zvládnutí povinností vyplývajících z NIS2. Více informací a registrace na stránkách https://nis2.konference.cz/.

O organizátorovi:

Společnost Exponet s.r.o. se již od roku 2000 věnuje organizaci odborných IT konferencí, které si kladou za cíl seznamovat účastníky s novinkami v oboru, případovými studiemi i nabídkou produktů klíčových technologických hráčů na trhu. Pečlivý výběr témat, kombinace teoretických poznatků a současné praxe zajišťují vysokou úroveň konferencí a jsou důvodem stálého zájmu odborné veřejnosti. Více informací naleznete na https://www.exponet.cz/.

Exit mobile version